Skip to content

Ataque DDoS “Ioiô”: Como derrotá-los

As tecnologias em nuvem tornam mais fácil a mitigação da maioria dos ataques de DDoS. Mas os autores de ameaças estão se adaptando e há agora um crescimento no número de ameaças que são designadas para ser efetivas contra arquiteturas na nuvem. Uma delas, o chamado ataque “Ioiô” está ganhando popularidade e é importante entende-lo. Felizmente, uma vez que você entenda como ele funciona, ele pode ser mitigado.

Conteúdo relacionado: Como Ter Visibilidade Completa do Tráfego Web

O DDoS convencional contra a arquitetura na nuvem

A maioria dos ataque s de DDoS são volumétricos. O atacante envia um grande volume de tráfego para o site alvo, na tentativa de sobrecarrega-lo e deixa-lo indisponível a outros usuários.

Esses ataques pode ser efetivos contra aplicações na web hospedadas de forma tradicional, mas são menos efetivas contra arquiteturas na nuvem. A nuvem é inerentemente resistente a DDoS volumétrico, por vários motivos.

Primeiramente, as aplicações na nuvem quase sempre têm balanceamento de carga. O tráfego vindo é distribuído de forma igual para diversos endpoints, logo o backend dos servidores não pode ser sobrecarregado até que o volume do tráfego se aproxime da capacidade total da rede.

Além disso, os balanceadores de carga quase sempre tem a habilidade de escalamento reativo. Eles monitoram o uso atual dos recursos atuais do backend e, caso mais recurso seja necessário, eles são adquiridos online automaticamente. Ao contrário de um ambiente on-premise, os dispositivos na nuvem são virtualmente ilimitados. É muito difícil para um atacante dirigir largura de banda o suficiente para derrubar um site sob essas circunstancias.

Por fim, as arquiteturas em cloud tornam simples a implementação de plataformas de segurança da web entre os balanceadores de carga e o backend da rede. O tráfego de origem pode ser filtrado antes de chegar nos endpoints de destino. Soluções de segurança como o Reblaze que por ser executada em instancias em cloud, e trabalha com balanceamento de carga e auto escalável para que sempre tenha poder de processamento suficiente para bloquear o tráfego hostil com praticamente zero de latência.

Os autores das ameaças se adaptam

Os autores hostis estão ajustando suas táticas a realidade da utilização da nuvem. Uma das ideias é lançar técnicas de reflexão e amplificação para lançar ataques em escalas massivas nunca vistas antes. Por exemplo, no primeiro trimestre de 2020, a AWS mitigou um ataque de DDoS que chegou a 2.3Tbps.

Leia também:  Segurança Web Nativo em Nuvem: Benefícios e Desafios

Os testes envolvem diversas táticas, uma bem interessante está se tornando popular, chamamos de “ataque Ioiô”.

O ataque DDoS Ioiô

Este ataque tenta alavancar a força da nuvem contra a organização que a utiliza. Especificamente, o atacante tenta usar o escalamento automático reativo para garantir que a vítima implemente e pague pelos recursos excessivos.

O ataque começa quando o criminoso envia a vítima uma grande onda de tráfego DDoS. O sistema da vítima reage com o escalamento automático implementando mais recursos para lidar com a carga de trabalho de forma antecipada.

Nesse ponto, o atacante desliga o bot de DDoS. Porém nesse mesmo ponto o escalamento automático reativo não volta a regredir o escalamento novamente. Ele espera por algum tempo para confirmar que a queda de tráfego é real e não apenas uma breve queda. Ele age dessa forma para evitar situações de não interpretar de forma correta um declínio real, regredindo assim os recursos novamente, tendo então que escalar novamente, sendo esse um processo que leva tempo e deixará o sistema momentaneamente com recursos inadequados para corrigir o manuseio do fluxo de trabalho.

Logo, durante o período de confirmação, o sistema da vítima implementou recursos que excedem e muito o necessário.

Uma vez que o escalador automático decide que o volume de trafego realmente diminuiu, ele irá regredir os recursos novamente. Nesse ponto, o atacante envia outro tráfego de DDoS e o ciclo se repete, de novo e de novo.

Conteúdo relacionado: Rate Limit: Uma Parte Vital da Segurança Web Moderna

DDoS Ioiô na prática

Abaixo uma ilustração do ataque:

Ataque DDoS

 

A linha azul representa o tráfego combinado (DDoS e legitimo) que a vítima recebe, enquanto a linha vermelha pontilhada representa a quantidade de recursos alocada pelo escalador automático.  O nome “ataque de Ioiô” foi dado porque o tráfego de DDoS não é contínuo, ao invés disso, ele varia para cima ou para baixo, como um Ioiô.

O objetivo desse ataque não é (necessariamente) deixa o site da vítima off-line (apesar de poder acontecer). O objetivo real é causar prejuízo financeiro na vítima.

Os provedores de nuvem cobram seus clientes pelos recursos que são provisionados, mesmo que os recursos não sejam completamente utilizados. Logo, os sistemas da vítimas escalam em recursos a cada ciclos, gerando custo extra para a conta da vítima. Na prática, o atacante força a vítima a pagar uma grande quantidade de recursos que não são necessárias para lidar com o fluxo de trabalho legitimo.

Leia também:  Malware Lúcifer atacando sistemas Windows

Os ataques de Ioiô são bem atrativos para atacantes pois eles influenciam muito o funcionamento da aplicação. Durante boa parte de cada ciclo do ataque, o atacante não está enviando tráfego nenhum. Isso diminui os custos do atacante, especialmente se comparado ao DDoS tradicional.

Lidando com o DDoS Ioiô

A segurança cibernética é uma corrida continua; os atacantes desenvolvem novas técnicas e os provedores de segurança lidam com eles.

Por exemplo, os ataques de Ioiô requerem que o atacante saiba a quantidade atual de escalamento que ocorreu. Se a vítima puder prevenir o atacante de ter essa informação de forma precisa, então o padrão de ataque pode ser desfeito.

Ataques de Ioiô simples dependem de a vítima usar o escalamento automática padrão direto dos balanceadores de carga da nuvem. Lidar com esses ataque pode ser feito alterando esses valores para que não sejam mais os padrões.

Alguns ataques são mais sofisticados nos seus métodos. Ao invés de assumir que o sistema da vítima está se comportando de acordo com os padrões, eles monitoram a resposta do sistema alvo para avaliar seu estado atual. Se o sistema responder rapidamente durante a fase de DDoS, ele aparentemente ampliou os recursos. Caso ele esteja lento ou retorne erros, ele aparentemente não escalou os recursos naquele instante. Utilizando o tempo de resposta dos sistema para enganar os atacantes podem evitar esses ataques. Para origem de tráfego que seja suspeita de ser um ataque de Ioiô, o sistema pode responder lentamente e para usuários legítimos, eles podem responder rapidamente.

Essas técnicas são simples e estão descritas aqui para ilustração. Outras técnicas sofisticados estão disponíveis também e elas podem funcionar ainda melhor do que as descritas aqui.

Um ponto importante a se lembrar: Os ataques de Ioiô são bem recentes e a sua mitigação normalmente está disponível apenas nas melhores plataformas de segurança da web. Por exemplo, as ferramentas de segurança nativas incluídas nas melhores plataformas de nuvem não lidam de forma adequada com esses ataques.

ataque ddos

Comente o que achou do artigo